Задать вопрос
calirails
@calirails
php

Как запретить параллельное (одновременное) использование одного аккаунта разными пользователями?

Use case: есть платная платформа, в которой нужно запретить использование одного аккаунта большим (> 1) количеством пользователей одновременно. Если есть активность одного пользователя - то запрещать вход другим пользователям в этот аккаунт.

Каким образом реализуется данный функционал? Как запретить параллельное (одновременное) использование одного аккаунта разными пользователями? Как понять, что пользователь не активен и давать возможность залогиниться с другого устройства? Может быть ограничивать вход по IP?

Поделитесь практикой, коллеги.
  • Вопрос задан
  • 7251 просмотр
1 комментарий
Подписаться 8 Средний 1 комментарий
Решения вопроса 1
Zatmil
@Zatmil
Fullstack-разработчик
Как это реализован в одном моем сервисе. При авторизации создается токен, который дальше отправляется со всеми запросами от пользователя. Как только с данного аккаунта делается еще одна авторизация, то создается новый токен, а все предыдущие обнуляются и запросы с этим токенами начинают возвращать 403 ошибку.
Ответ написан
17 комментариев
17 комментариев
Пригласить эксперта
Ответы на вопрос 5
@hckn
Просто делай логаут, если зафиксирован логин с другого устройства.
Ответ написан
15 комментариев
15 комментариев
sergiks
@sergiks Куратор тега PHP
♬♬
Залогиненный пользователь должен «запирать» под себя аккаунт, не допуская дополнительные входы под этим же аккаунтом.

Как отличать «этот» визит от «других». Точно не по IP, т.к. пользователь может быть мобильным. По «отпечатку браузера» или по набору cookies.
При очередном запросе мутировать куку, чтобы копирование кук на другое устройство не помогло. Что-то вроде CSRF-токенов использовать при каждом запросе.
На случай вылета пользователя предусмотреть timeout, по истечении которого разрешать любой логин в этот аккаунт.
Ответ написан
2 комментария
2 комментария
sim3x
@sim3x
Вам нужны forevercookies и/или идентификация по доп параметрам, например https://github.com/Valve/fingerprintjs2

Но лучше такие вещи решать административным способом - так чтоб использовать один акк на несколько человек не требовалось
Ответ написан
4 комментария
4 комментария
Expany
@Expany
$this->get('skill');
по IP, по статусу создания куки, по сессии, по дополнительному идентификатору, который ты можешь отследить, в рамках текущего сеанса пользователя. Вариантгв масса.

Я бы использовал дополнительное поле в базе, куда записывал бы 1, после авторизации.
А на этапе авторизации, проверял бы это поле, если там 1, облом, иначе авторизуем.

Но это лишь пример.
Ответ написан
2 комментария
2 комментария
web-verzus-team
@web-verzus-team
Full Stack Developer
При логине сохраните session_id() в базе данных. Затем сравниваете текущий с тем, что записано в базе, и если не совпадает - логаут.
$db_session_hash= $db_session_hash ?: get_session_hash($__id);//Хеш "текущей" активной сессии в базе если не получен ранее
			if($db_session_hash!=$_SESSION['auth']['session_hash']){
				unset($_SESSION['auth']);
				add_notification('danger', 'В ваш аккаунт выполнен вход на другом устройстве или браузере.');
			}
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
PHP разработчик
Ведисофт Екатеринбург
от 25 000 ₽
PHP-разработчик
M-Social Production Брянск
от 70 000 ₽
PHP Developer
YCLIENTS Москва
от 200 000 до 350 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Доработать клиентское приложение для GTA 5 на C#
20 апр. 2024, в 00:51
1000 руб./за проект
Верстка и логика формы выбора билетов в зале для покупки
20 апр. 2024, в 00:43
10000 руб./за проект
Разработать формирование УПД на Java
20 апр. 2024, в 00:28
20000 руб./за проект
Ещё заказы